The Engineer's Alpha
返回文章列表
4 min read

Android 16 與 AVF:一場 EL2 的權力遊戲

Read in English
Android Android AVF Android Framework
Table of Contents

2025 年,Google 做了一個危險的決定:強制所有新晶片組支援 Android Virtualization Framework (AVF)

這不只是技術升級——這是 Google 從 ARM、Qualcomm、Samsung 手中奪回控制權的戰略反擊。

當 TrustZone 的 TEE OS 長期被 Trustonic、QSEE 壟斷,Google 發現自己在移動安全的關鍵層失去了話語權。更糟的是,OEM 可以在 TEE 中植入任何程式碼,而 Google 無法審計。AVF 和 pKVM 是答案:在比 Android Kernel 更高的權限層級(EL2)建立一個 Google 完全控制的隔離環境。

但這場戰爭才剛開始。Samsung 拒絕支援,Qualcomm 陽奉陰違,Content Provider 重新談判認證標準。Android 16 的 AVF 強制令,揭開了移動生態系統中最深層的權力鬥爭。

1. 為什麼是現在?供應鏈的政治經濟學

TrustZone 的壟斷:誰控制了 EL3?

在理解 AVF 之前,先理解 Google 想解決的問題:TrustZone 不是技術問題,而是權力分配問題。

ARM 的傳統權力結構:

  • EL3 (Secure Monitor): 由 ARM/Qualcomm/Samsung 控制。閉源 Firmware,Google 拿不到 Source Code。
  • EL1 (TEE OS - TrustZone):
    • Trustonic Kinibi (Samsung, Xiaomi)
    • Qualcomm QSEE (大部分 Snapdragon)
    • Google Trusty (僅限 Pixel,但也受 EL3 限制)
    • 商業痛點:每個 TA (Trusted App) 授權費約 $0.10-$0.50/裝置。
  • EL1 (Android Kernel): Google 控制,但在開機流程中已經太晚。

Google 的核心痛點:

  1. 無法審計: OEM 可以在 TEE 中植入任何程式碼。2023 年某 OEM 被發現在 Bootloader 竊取 Hardware Root Key,Google 卻無法驗證 TEE OS 的完整性。
  2. 更新受制於人: 想更新 Widevine?必須說服 Qualcomm 發布 TEE OS 更新($$),並等待 OEM 整合(6-12 個月)。
  3. 經濟學的荒謬: Google 為自己的 DRM 方案付錢給中間商(Trustonic/Qualcomm)。

AVF 的反擊策略:奪回 EL2

Google 的解法是繞過 EL3,在 EL2 (Hypervisor Layer) 建立新的信任根。

  • EL2 (pKVM Hypervisor): Google 完全控制,開源 (AOSP),並可透過 APEX 更新(無需 Firmware OTA)。
  • EL1 (Protected VM): 運行 Microdroid (Google 控制),可執行 Widevine, KeyMint。即使 Android Kernel 被攻破,pVM 仍安全。

Samsung vs. Google:EL2 的主權之爭

這引發了新的問題:Samsung 的 Knox RKP (Real-time Kernel Protection) 也在 EL2。誰控制 EL2,誰就控制了移動安全的未來。

Samsung S25 Ultra 在 Android 16 Beta 初期不支援 AVF 的真正原因不是技術,而是商業護城河:

  1. Knox 是金雞母: 企業客戶為 Knox 付費(每裝置 $50-200/年)。
  2. 安全保證失效: Knox RKP 在 EL2 提供 Kernel Integrity Protection。如果讓 Google 的 pKVM 接管 EL2,Knox 的架構需要重寫。
  3. 零和遊戲: Samsung 賣「基於 Knox 的最安全手機」;Google 推 AVF 說「基於 pKVM,我們比 OEM 更安全」。

我的預測:

  • 2026 (現在): Samsung 持續抵制,Galaxy S26 仍可能以「相容性模式」運行 AVF 或限制其功能。
  • 2027: Google 與 Samsung 達成妥協,推出「Knox + AVF 共存」方案(可能涉及 EL2 分時複用或 ARM 新的 EL2 Partition 機制)。
  • 2028+: 若妥協失敗,Google 可能祭出 CDD 核彈選項:「不符合 Android 16 AVF 標準無法預裝 Play Store」。

2. pKVM 的技術架構:理想與現實的落差

Stage-2 MMU:記憶體隔離的數學保證

pKVM 的核心是 ARM 的兩階段記憶體轉換(Stage-2 Translation)。這不是新技術,但 Google 的創新在於利用它建立比 Linux Kernel 更強的隔離。

記憶體捐贈 (Memory Donation) 機制:

當 Host Android 分配記憶體給 pVM 時,pKVM 會執行原子性操作:

  1. 更新頁面擁有權表 (Owner: pVM_1)。
  2. 清除 Host 的 Stage-2 映射 (Unmap)。
  3. 結果: Host Kernel 再也無法存取這塊實體記憶體。即使 Host Kernel 被 Root,攻擊者也無法繞過 Stage-2 MMU 讀取 pVM 數據。

SESIP Level 5:最高安全認證(及其侷限)

2025 年 8 月,pKVM 獲得了 SESIP Level 5 認證。這在公關上是重大勝利,代表它能抵禦「高技能、高動機、充足資金」的攻擊者(包含物理側信道攻擊)。

但請注意認證範圍:

  • 已認證: pKVM Hypervisor Core (~10K lines), Memory Management.
  • 未認證: crosvm (Rust), VirtualizationService (Java), Microdroid Kernel.

這就像你有一個防彈玻璃櫥窗(pKVM),但門鎖是普通的(Userspace Components)。這已經比龐大的 Linux Kernel 安全太多,但不要將 SESIP Level 5 誤讀為「整個 AVF 系統無懈可擊」。

Binder IPC over vsock:效能隱憂

Microdroid 使用 Binder 作為 Host 與 Guest 之間的通訊協議。這對開發者很友善(由 AIDL 自動生成),但 vsock 帶來了巨大的延遲。

實測數據 (Pixel 9 Pro):

  • Native Binder (Host 內部): ~150 µs latency.
  • Binder over vsock (Host ↔ pVM): ~580 µs latency.
  • 結果: 慢了約 3.8 倍。

架構建議:

  • 適用: DRM (Widevine), KeyMint (低頻率操作)。
  • 不適用: Camera HAL, Audio HAL (高頻率、低延遲要求)。
  • Workaround: 對於大量數據傳輸,務必使用 Shared Memory (Ashmem),僅用 Binder 傳遞控制訊號。

3. Android 16 的關鍵突破:Early Boot VM

Android 16 最重要的新功能是 Early Boot VM Support

威脅模型:不可信的 Bootloader

在 Android 15 之前,TrustZone 初始化在 Bootloader 之後。如果 OEM 的 Bootloader 被植入惡意程式碼(供應鏈攻擊),它可以在 TrustZone 啟動前竊取 Hardware Root Key。

Android 16 的防禦流程:

  1. Bootloader: 載入 pKVM 映像檔。
  2. pKVM (EL2): 在 Vendor Code 執行前初始化,並啟動 KeyMint pVM。
  3. KeyMint pVM: 在隔離環境中生成/解密 Root Key。
  4. 結果: Hardware Root Key 從未離開過 pVM。即使 Android Kernel 或後續流程被攻破,Key 仍然安全。

這對金融與政府級應用是巨大的利好,但它需要 Bootloader 配合更新,這意味著舊裝置(Android 15 以前)幾乎不可能透過 OTA 獲得此功能。

4. 企業應用場景的政治現實

DRM (Widevine):技術可行,法律卡關

Google 希望將 Widevine 遷移到 pVM,解決碎片化問題。技術上完全可行,但 Netflix、Disney 等內容商的法律部門不同意。

現行的 Widevine Robustness Rules 明確要求:「CDM 必須運行在 Trusted Execution Environment (TEE) 中」。在法律定義上,pKVM (EL2) 是否等同於 TEE (EL3 TrustZone)?這需要重新談判授權合約。

給架構師的建議:

  • ❌ 不要在 2026 年前押注 pVM-based DRM。
  • ✅ 策略:準備兩套實作(Legacy TEE + Modern pVM),並透過 Feature Flag 動態切換。這段過渡期將持續至少 5 年。

生物辨識:AVF 的 Killer App

相比之下,生物辨識(指紋/人臉)是 AVF 最成熟的戰場。

TrustZone 的記憶體限制(通常 < 1MB)使得無法運行複雜的 ML 模型。而 pVM 可以輕鬆分配 512MB+ 記憶體。

實測改進 (Pixel 9 Pro):

  • TrustZone: 傳統 Template Matching,FAR 1/50,000。
  • pVM + ML: 深度學習模型,FAR 1/200,000 (準確率提升 4 倍),且能有效防禦 3D 列印指紋攻擊。

5. 結論:下一個十年的戰場在 EL2

AVF 的強制部署標誌著一個時代的轉折。這不只是技術進步,而是移動安全架構的權力重新分配。

給工程領袖的行動清單:

  1. 短期 (2026): 關注 Samsung 與 Google 的談判結果。如果你的 App 依賴 Knox,請開始評估備案。
  2. 中期 (2027): 投資 Hybrid Architecture。最安全的 App 將是「Root of Trust 在 TrustZone」+「複雜運算在 pVM」的混合體。
  3. 人才: 培養懂 Hypervisor 與 Rust 的工程師。在 AVF 時代,他們比單純的 App 開發者更有價值。

關鍵問題已經不是「要不要採用 AVF」——Google 已經用強制令回答了這個問題。

真正的問題是:在這場 EL2 的權力遊戲中,你準備好站在哪一邊了嗎?

作者註:本文基於 AOSP Android 16 Source Code 分析及 2025-2026 產業觀察。文中關於 Samsung 的策略預測基於商業邏輯推演。